Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи Владислав Фета
Выбрать дату в календареВыбрать дату в календаре

1
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
 
Владислав Фета
Владислав Фета
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 04.07.2017
Размещено 05.07.2017 15:09:56
Как я понял - теневые копии и восстановление системы - это из одной оперы. К сожалению, на диске D система восстановления Windows была отключена - поэтому вариант только обращаться с письмом в службу поддержки. Как раз сейчас оформляем корпоративную лицензию на NOD32 - как показала практика, Avira, которая стояла до этого, ничего не уберегла((
Перейти
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
 
Владислав Фета
Владислав Фета
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 04.07.2017
Размещено 05.07.2017 14:00:46
Выполнили и, на всякий случай, прикладываю образ автозагрузки.
Подскажите, а решения по дешифровке вообще нет? Просто в других темах с аналогичным "заражение" просили отправить в суппорт письмо о лекарстве, а в нашем случае - его нет?
И второй вопрос - что за теневые копии?
Перейти
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
 
Владислав Фета
Владислав Фета
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 04.07.2017
Размещено 05.07.2017 11:57:45
Давайте удалим, всё равно ничего не работает((
Появилась проблема - не даёт по удалёнке подключиться к серверу пользователям
Перейти
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
 
Владислав Фета
Владислав Фета
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 04.07.2017
Размещено 05.07.2017 11:17:14
Админы... штатных нет, а знакомый админ сказал шуршать по интернету в происках решения проблемы( поэтому - вот своими силами и с вашей огромной помощью надеемся восстановить все данные
Новый образ автозапуска в приложении
Перейти
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
 
Владислав Фета
Владислав Фета
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 04.07.2017
Размещено 05.07.2017 10:42:43
"Remote Control сами установили?
C:\PROGRAM FILES (X86)\REMOTE MANIPULATOR SYSTEM - HOST\RUTSERV.EXE
+
в системе еще активный майнер.
C:\WINDOWS\SYS\SVCHOST.EXE "
Не можем знать - возможно и не сами(
Скрипт выполнили, перезагрузились - из нового только ошибка Firefox при загрузке Windows вылезла, а так ничего не поменялось на первый взгляд.
Наши дальнейшие действия?
Перейти
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
 
Владислав Фета
Владислав Фета
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 04.07.2017
Размещено 04.07.2017 18:06:12
Прикрепляю образ автозапуска
Перейти
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
 
Владислав Фета
Владислав Фета
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 04.07.2017
Размещено 04.07.2017 17:21:35
Добрый день. 28 июня файлы на сервере были переименованы и стали выглядет вот так:
[email protected] 1.3.1.0.id-@@@@@CA09-2542.randomname-RSSTUUVWXYYYZABCCDDEFGGHHIJKKL.MMN.oop
[email protected] 1.3.1.0.id-@@@@@CA09-2542.randomname-TUUVWWXYZABBBCDEFFFGHIJJKKLMNN.OPP.qrr
[email protected] 1.3.1.0.id-@@@@@CA09-2542.randomname-IJJKLMNNOOPQRRSSTUVWWWXYZAAABC.DEF.fgg
[email protected] 1.3.1.0.id-@@@@@CA09-2542.randomname-RTTUVWXXYYZABCCDDEFGGHHIJKKLMM.NOP.qqq
[email protected] 1.3.1.0.id-@@@@@CA09-2542.randomname-DEFGHHIJKKLLMNNOPPQRRSTUUVVWXY.YZA.abc
и так далее.
Также были созданы во всех папках readmy.txt со следующим сообщением:
"for decrypt files write you country to  [URL=mailto:[email protected]][email protected][/URL]"

В приложении архив с парочкой таких файлов.

Источник всего этого безобразия неизвестен - сервер работал отлично, а в 13-14 часов произошли все эти изменения файлов.
Проверка ПК NOD32 Antivirus 10 выявила и очистила 4 угрозы:
1. Модифицированный Win32/Filecoder.NHT троянская программа
2. Модифицированный Win32/Filecoder.NLK троянская программа
3. Win64/Agent.GW троянская программа
4. Модифицированный Win32/Kryptik.FTOK троянская программа

Просим помощи!
Заранее спасибо!
Перейти
1